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PUBLIC KEY CRYPTOGRAPHY PROCESS BASED ON THE DISCRET1E LOGARITHM 
PROCEDE DE CHIYPTOGRAPHIE A CLE PUBLIQUE BASE SUR LE LOGARTTHME DISCRET 
(57) At>stract 



(54) TiUc: 
(54) TItre 



The invention relates to a cryptography process with 
public key, based on the discrete logarithm and implying the 
calculation of the magnitude r - g^ modp, wherein p is an 
I integer called modulus, and k is a random number. Accoiding 
to the invention, a data base comprising the couples (xu g»* 
modp) is formed, the xi being pseudo-random values and said 
values are used in a linear combination in order to obtain an 
I exponent k. the calculation of the magninide g*' modp being 
done by using the gM entering in the combination. Application 
to the digital signature or to the authentication, 

(57) Abr^^ 

L'invcntion a pour objet un proc^6 de cryptographic h 
\ c\t publiquc bas« sur Ic logarithme discret faisani intcrvcmir Ic 
calcul de la grandeur r - gk modp oO p est un nombre premier 
appeltf module, k un nombre altotoire. Scion Tinvention 
on fomie unc base de donnto comprenant des couples (xj. 
g«*mo<Jp). les Xi itant des valeurs pseudo-aliaioircs ct on utilise 
ces valeurs dans unc combinaison liniairc pour obtenir un 
I exposani k, Ic calcul de la grandeur g^ modp sc faisant en 
utilisant les g*i entrant dans la combinaison. Application ^ la 
signature num^riquc ou d Pauthenti^cation. 
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PROCfeDB DE CRYPTOGRAPHIB A CLfi PUBLIQDE 
BAS£ 8Xm LS L06ARZTEHE DZSCRET 

La prfesente invention a pour objet un proc6d6 de 
cryptographie dite g cl6 publique basS sur le 
logarithme discret faisant intervenir le calcul d'une 
grandeur modulo p. 

Elle trouve une application dans la generation de 
signatures numSriques de messages, ou dans une cession 
d'authentif-ication entre deux entitfes , 

Dans de telles procedures, la security est fondfee 
sur 1' extreme difficultS qu'il y a a inverser certaines 
fonctions et plus particuliSrement le logarithme 
discret. 

Ce problSme consiste, 4tant donnfi la relation 
mathfematique y = gX modulo p que I'on notera par la 
suite y « gX modp (qui signifie y est le reste de la 
division de gX par p) , d retrouver x lorsque I'on 
connalt p, g et y. ce problSme est impossible 4 
rtsoudre, en I'etat actuel des connaissances , dfes que 
la taille p atteint ou d^passe 512 bits et que celle de 
X atteint ou dSpasse 128 bits. 

Dans de tels systemes, il existe en general une 
autorite qui fournit le nombre p de grande taille, 
constituant le module. L'autorltS choisit 6galement un 
entier g, appel€ base tel que 1' ensemble engendrS par g 
c'est-a-dire 1' ensemble formS des nombres gX modp, pour 
X appartenant S I'intervalle [b, p-1) soit un 
sous-ensemble de taille maximale, au moins 2^28. 

Les paramfetres p. et g sont dits "publics" c'est-a- 
dire qu'ils sont fournis par I'autoritfe a tous les 
utilisateurs rattaches a cette autorite. 

Selon certaines variantes, ces parametres sont 
choisis individuelleroent par chaque utilisateur et 
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font, dans ce cas, partie intSgrante de sa cl6 
publigue. 

Un inconvenient majeur a la mise en oeuvre de 
systdmes cryptographiques reside dans la necessity 
5 d' avoir des moyens de calcul et de tn^iaorisation 
relativement importants du fait des calculs complexes 
qui sont realises* 

En effet, le calcul de la grandeur g^modp consiste 
S r^aliser des . multiplications modulaires et cela est 
10 cotiteux en temps de calcul et en place memoire* Dans 
des dispositifs electroniques simples n'utilisant que 
des microprocesseurs standards, ce type d'opferation 
n'est guSre realisable. 

Pour des dispositifs electroniques possSdant un 
15 processeur specialist pour ce type de calculi il est 
malgrt tout souhaitable de limiter, le temps de calcul 
et la place memoire ntcessaire pour les resultats 
intermedia ires « 

En effet, le calcul de la grandeur g^modp est en 
20 general relativement coCteux par la mSthode classique 
du "carre-multiplife^" connue sous 1 ' abrSviation anglo- 
saxonne SQM (Square-Multiply) puisqu'il fequivaut en 
moyenne §l 3/2 Log2(P) multiplications. 

Selon cette m6thode on calcule toutes les 
25 puissances de g c'est S dire, lorsque k est de longueur 
n bits, tous les carr6s : 




30 

Selon la methode du "carre multipliS" simple g^ 
requiert n/2 multiplications et n carr€s. 

Une methode proposee par £• BRICKELI. et al. 
denommee par 1 ' abreviation BGCW permet de reduire le 
35 nombre de multiplications dans le cas de la methode du 
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carre-TOultipli6 mais introduit un besoin de stockage de 
nombreuses constantes precalculees et done la n^cessite 
de disposer d'une quantity de rofemoires de stockage trfes 
p6nalisante. 

La prSsente invention a pour objet de renedier 4 
tous- ces inconvenients-. Elle permet d'apporter une 
solution souple et peu onereuse en temps de calcul et 
en place mSmoire a la mise en oeuvre d'algorithmes 
cryptographiques pour tous systfemes de cryptographic et 
en barticulier par des appareils portables du type 
carte S puce ^ microprocesseur . 

Selon 1' invention deux solutions sont proposfees. 
Les deux solutions sont basees sur un principe coituaun 
consistant a constituer une base de donnfees de valeurs 
al^atoires et 4 combiner ces valeurs pour determiner 
des exposants k servant aux ^changes entire deux 
entites. 

Avec les deux solutions proposges, le calcul d'un 
exposant k requiert noins de 30 multiplications 
modulaires pour un espace memoire tout a fait 
acceptable pour des supports tels que les cartes a 
puce . 

L' invention a plus particuliferement pour obj^t un 
procidi de cryptographie i cle publique base sur le 
logarithme discret faisant intervenir le calcul de la 
grandeur r = gJ<^ modp ou p est un "norobre premier appele 
module, 1' exposant k un nombre alfeatoire habituelleroent 
de longueur N bits et g un entier appelS base, dans 
lequel une entite E realise des operations 
d'authentification et/ou de signature, comprenant des 
echanges de signaux avec une autre entity dans lesquels 
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intervient cette grandeur, caract:erisS en ce qu'il 
comporte les Stapes suivantes pour une entite donn&e : 

- former une base de donn4es contenant un noxnbre 
fixe d'exposants et: les puissances correspondantes , 

5 puis pour chaque echange de signaux: 

- genSrer un exposant -en operant une combinaison 
lineaire alSatoire des valeurs d'exposant de la base, 

- et calculer la puissance de g a partir des 
puissances de la base entrant dans la combinaison. 

10 

Selon un premier mode de realisation, les Stapes 
consistent Slz 

- former une base de donnSes fixe contenant 
m valeurs aleatoires et les grandeurs 

15 correspondantes telles que Zj^ « g^i modp, 

- genSrer un exposant k necessaire k chac[ue 
signature en operant une combinaison lineaire aleatoire 
des valeurs Xj^ de la base, 

- calculer la grandeur g^ modp a partir des 
20 grandeurs relatives aux valeurs xj^ intervenant dans 

la combinaison, 

" utiliser cette grandeur dans les ^changes de 
signaux avec une autre entitS. 

25 Selon un deuxieme mode de realisation, les Stapes 

consiste a : 

- former une base de donnees Svolutive contenant 
n valeurs aleatoires d'exposants et leur puissance (kj^, 
g^i modp) 

30 - generer un nouvel exposant k^^^ necessaire a une 

signature en operant une combinaison lineaire aleatoire 
des n valeurs k^ , 
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- calculer la grandeur g^^i+l modp en rSalisant: le 
produit des puissances de de la- coabinaison 
lineaire, 

- mettre a jour la base des exposants et des 
puissances, 

- util-iser cette grandeur dans les ^changes de 
signaux avec une autre entite. 

D'autres particularities et avantages de 1' invention 
apparaltront a la lecture de la description qui est 
faite et qui est" donnee a titre d'exemple illustratif 
et non limitatif en regard des dessins qui 
reprfesentent : 

- la figure i, un schSma de prihcipe d'un systeme 
apte a mettre en oeuvre 1' invention, 

- la figure 2, un schema fonctionnel representant 
les 6tapes essentielles du proc6d6 selon 1' invention, 

" la figure 3, le schfema fonctionnel selon un 
premier mode de realisation^ 

- la figure 4, le schema fonctionnel selon un 
deuxiexne mode de realisation • 

on a reprfesente sur la figure i, un schema de 
principe d'un systeme de mise en oeuvre du proc6d6 de 
cryptographie objet de 1' invention. 

Ce systeme est formfe d'une entity El desirant 
effectuer des echanges de signaux electroniques avec au 
moins une autre entite E2. les deux entitfis sont munies 
respectivement d'une unitfe de traitement (CPU) 11, 30, 
d'une interface de communication, d'une m6moire vive 
(RAM) 13, 32 et/ou d'une memoire non inscriptible 
(ROM) 14, 34 et/ou d'une memoire non volatile 
inscriptible ou reinscriptible (EPROM ou EEPROM) 15, 33 
et un bus d'adresses, de donnees, de controle 16, 35. 
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unite de cominande de traitement: et/ou la ROM 
contiennent des programmes ou des ressources de calcul 
correspondant a 1' execution des Stapes de calcul 
intervenant dans le procedfe objet de 1' invention, 
5 c'est-a-dire lors d'une session d' authentif ication ou 
lors de la generation d'une signature felectronique ou 
au Gours des^uelles les deux entitfes s'fechangent des 
signaux felectroniques • 

L' units de traitement ou la ROM possfident les 

10 ressources necessaires a des multiplications, additions 
et reductions roodulaires. 

De meme que 1' unite de traitement et/ou la ROM 
comportent les fonctions . de cryptographie utilisees 
propres a chaque algorithme de cryptographie et les 

15 paramStres g et p, necessaires au calcul et fixSs un 
fois pour toute pour la suite « Les exposants selon 
le premier mode ou kj^ selon le deuxi&me mode pourront 
etre charges au pr Salable dans une mSmoire 
rSinscriptible, par I'autoritS ou, gSn^rSs h partir 

20 d'un gSnSrateur alSatoire et d'une valeur alSatoire 
source Xq (ou Kq) secrSte. Chaque entitS El, E2 possede 
en outre une cle secrSte x et la cle publique y\ 

L' invention s'applique tout particuliferement aux 
syst&mes a cryptographie mis en place dans le domaine 

25 bancaire oQ une grande sScuritS est requise lors de 
transactions opSrees sur les comptes* 

C'est aussi le cas oQ I'on dSsire authentifier 
1' envoi de messages transmis sous forme de signaux 
electroniques envoySs par une autre entitfe* 

30 C'est aussi le cas oa I'on a besoin de signer des 

messages lors d'echanges de signaux avec une autre 
entite* 

En pratique, I'entite desireuse de realiser une 
transaction pourra etre, par exemple, une carte a 
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Circuit int6gr§ telle qu'une carte S puce et I'entite 
destinataire sera alors un terminal bancaire. 

La suite de • la description va dtre faite dans le 
cadre.de I'application du proc6d6 a la signature de 
messages numferiques, €tant bien -entendu que 1' invention 
s' applique k tout systeme de cryptographie base sur le 
logarithme discret. 

La figure i, illustre les Stapes essentielles du 
procfede. selon 1' invention on forme une une base de 
donnees contenant un nombre fixe d'exposants et les 
puissances correspondantes , 

puis pour chaque ^change de signauxi 

- on gSn^re un exposant en operant une combinaison 
lin^aire alSatoire des valeurs d'exposant de la base, 

- et on calcule la puissance de g a partir 'des 
puissances de la base entrant dans" la combinaison. 

Le precede selon 1' invention propose, deux solutions 
reposant toutes deux sur la formation (ou constitution) 
de cette base de donnSes. 

Selon le premier mode de realisation^ la base est 
fixe et est formfee d'un ensemble de m couples (x^, z). 
Les donnees x^ sont des nombres ^14atoires obte^us 
comroe dit prScedemment par un gSnSrateur de nombres 
aieatoires ou pseudo-al6atoires. La longueur de ces 
nombres est celle d'un exposant k et est la mSme pour 
tous ( soit N bits ) . Les grandeurs sont le r4sultat 
d'un calcul prealable tel que : 



^i 



2i = g modp. 

La longueur des grandeurs est celle du modulo p. 
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Lorsque l^entit^S El possdde ceti^e base de donn&es 
B « [(Xq, Zq) , ... f^-i' -^ijjj.^)!, elle peut ^changer des 
signaux avec une autre entite en faisant intervenir par 
exemple une signature DSA (r, s) telle que r - xnodp 
5 dans laquelle k a 6t6 gen&re a partir des donnSes de la 
base B. 

Ainsi selon 1' invention, I'entitS genSre un 
exposant k lorsque cela est n§cessaire et elie le fait 
en rfealisant une combinaison linfeaire aleatoire des 
10 valeurs Xj^ de la base* L'entitfe calcule ensuite la 
grandeur g^modp correspondante. 

Pour la g^nferation de 1' exposant k, I'entitfe 
procede de la maniere suivante : 

- 1' entite gSnere une sequence de 
15 valeurs aj^: (Bq, ^m-l^ sont des nombres 

entiers aleatoires tels que 0 ^ aj^ ^ h et panni lesquels 
w valeurs seulement sont non nulles* 

— I'entitfe g^n^re k de sorte_que : 

m-l 

20 k = Z aj^ Xj^ 

i=0 

" 1' entite calcule ensuite la grandeur g^modp en 
operant les multiplications des puissances de g donnees 
25 par les valeurs relatives aux xj^ qui entrent dans la 
combinaison linfeaire. En pratique les Xj^ entrant dans 
la combinaison lineaire sont ceux pour lesquels le 
coefficient a^^ est non nul. 

On utilise I'algorithme de BRICKEIX et al. pour 
30 realiser ce calcul, mais le npmbre de multiplications 
est d6sorraais (h/h+1) w + h-2 au lieu de 
(h/h+i) m + h-2- 
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Le nombre w est fixS par rapport a la sgcurite 
requise et conduit aux rfisultats suivants pour des 
valeurs de in et h : 

in=3 2, w«24 et h=8 
ro=64, w»20 et h=6 

Ces valeurs sont donn6es S ti-tre d'exenple et on 
peut envisager diverses combinaisons dSs lors que i'on 
respecte les contraintes de s6curit6. 

Dans le cas oil in=64 et w=20, le nombre de 
multiplications n^cessaires selon I'invention est de 34 
alors qu'avec une m6thode telle que BRICKELL on aurait 
60 multiplications a r6aliser. 

Pour ni=32, on stocke -par consequent 32 nombres de 
taille du module p soit 512 a 1024 bits suivant le cas 
et 32 nombres de 160 bits (N=i60) . 

Les m couples (Xi, z^)_ seront stock6s en 
mSmoire EEPROM dans le cas oCl_l'entite- est une carte et 
cela de fa?on prot6g6 par les mfethodes habituelles de 
blindage et analogue. 

La deuxiSme solution propos6e selon I'invention 
consiste t former une base de donnfees Svcsiutive d 
partir de n valeurs aleatoires d' exposants k^, i=i a n 
et de leur puissance g^i- modp. 

Une premiere nouvelle valeur d'exposant k^^^ est 
ensuite obtenue par combinaison lineaire aifeatbire des 
exposants de la base. Le calcul de la grandeur gJ^i+i 
correspondant a ce nouvel exposant est effectu6. ce 
nouveau couple est introduit dans la base de donnSes en 
reroplacement du premier. 

Un exposant k necessaire S une signature est obtenu 
par combinaison linfeaire de tous les autres exposants 
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de la base le contenu de la base est: modifie a 

chaque nouvelle g&nera^ion d'un exposant:* 

En effet., on remet a jour la base en reinpla^ant le 
premier couple par le dernier obtenu. 
5 Ainsi a 1 'instant t, la base est de la forme: 

<( ^o' ^^^P J' raodp 

, ( Oc^^ g^; modp ) ) 

on calcUle alors K^^.^^ et on met a jour la base qui 
devient : 

10 ( ( # g^i modp ) , ( ^2 , modp ) ^ . • . . 

* , ( k^, g^t modp ), ( Jc^+i/ g^+i modp )) 

le processus se repute ^ chaque calcul d'un nouveau 
k dans la sequence pseudo al^atoire. 

Chaque exposant de la base est une combinaison 
15 lin^aire exprim6 pour la relation suivante : 

h-1 

k^ = Z a^ kt+i-(h^i) ; 
i=0 

avec h-1 =» n 

20 

dans laquelle les coef f-icients aj^ sont des nombres 
entiers positifs, aleatoires. 

Les nombres aleatoires sont obtenus & partir d'une 
sequence fixe aQ, • • • / ^h^l laquelle on ef f ectue 

25 une peirmutation al&atoir^. 

Ainsi, la generation d'un exposant peut 
s'exprimer par la relation suivante : 

^t+1 ^tl^(t+i-(h-l) ' • • • V ^t) 
1^ 6tant une f onctionnelle lin6aire ( linear functional 

30 ) a coefficients entiers, choisie au hasard parmi 

L f onctionnelles . 

Les coefficients a^ sont des petites puissances 

de 2. On choisit des valeurs prises entre 1 et 2^ avec 

f ayant une taille qui permet une implementation 
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efficace. On choisira par example f=7 afin de rester 
coherent avec les valeurs propos6es par I'algorithne de 

Schnorr. On prendra done la suite o aj, ^ comme 

une permutation. aleatoire de la s4quence 
5 (Ir 2, .,.,27). 

Les coefficients des -combinaisona linfeaires doivent 
Stre inf§rieurs a une valetrr seuil b pour feviter des 
attaques et conserver les k^. uniformement distribu6s et 
(h-l) -independant. 
10 En oonsidSrant h et L=bh, on suggfere les 

valeurs h=8 et b=4 et on fixe ...^ 

La taille - des nombres k est gfenferalement de 
160 bits. Dans ce cas le nombre de multiplications 
modulaires intervenant selon le precede de 1' invention 
15 est nettement inffirieur au nombre de multiplications 
gfenSralement constate dans l'€tat de I'art actuel. En 
effet il est pour les valeurs retenues, infer ieur a 30. 
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REVENDICATIONS - 

1 . Proced^ de cryptographie a ci6 pubiique bas^ sur ie iogarithme discret 
falsant Intervenir Ie calcul de la grandeur r = g*^ modp ou p est un nombre 
premier appel6 module, k un nombre aleatoire habituellement de longueur 
N bits et g un entier appeiS base, dans lequei une entity E realise des 
opjeratlons d'authentlficatlpn et/ou de signature, comprenant des 
^changes de signaux avec une autre entity dans lesquels intervient cette 
grandeur, proc^d^ comportarit les Stapes suivantes pour une entity 
donn6e : 

- former une base de donnees contenant un nombre fixe d'exposants et 
les puissances correspondantes, puis pour chaque echange de signaux : 

- generer un exposant en operant une combinaison linSaire ai§atoire''des 
vaieurs d'exposant de la base, 

- et calculer la puissance de g ^ partir des puissances de la base entrant 
dans la combinaison. 

les dites Stapes consistant a : 

- former une base de donnSes fixe contenant rn vaieurs aieatoires et les 
grandeurs correspondantes Zj telles que Zj = g*' modp, 

- generer un exposant k nScessaire ^ chaque signature en operant une 
combinaison llneaire aleatoire des vaieurs x, de la base. 

- calculer la grandeur g*^ modp a partir des grandeurs z; relatives aux 
vaieurs Xj intervenant dans la combinaison, 

- utiliser cette grandeur dans les ^changes de signaux avec une autre 
entitS, 

ledit procSdS etant caracterise en ce que la generation des grandeurs k 
comporte les autres etapes suivantes : 

- gSnSrer un exposant k tel que k = LajXj et tel que Ton ait w des m vaieurs 
aj non nulles, Ie choix des aj non nuls Stant obtenu de fa?on aleatoire, 

- calculer la grandeur g'^modp en utilisant les vaieurs Z| correspondant 
aux vaieurs X| qui entrent dans la combinaison lineaire de k. 

2. ProcedS de cryptographie selon la revendication 1, caractSrise en ce 
que pour former la base de donnSes dans une entitS, on effectue les 
Stapes suivantes : 

- gSnSrer m vaieurs aieatoires Xj de N bits a partir d'un generateur 
pseudo-alSatoire. et d'une valeur initiate secrete Xq, 
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- calculer la grandeur z, = g'" modp en realisant le produit des puissances 
de g modulo p entrant dans ia combinaison lin^alre selon laquelle oeut 
etre decompos6e une valeur Xj, 

- stocker en memoire non volatile de I'entite les m couples (Xj. zj. 

3. Procede de cryptographic a de publique selon la revendication 1 
caractense en ce que les 6tapes consistent d : 

- former une base de donnas evolutive contenant n valeurs aleatolres 
d'exposants et de leur puissance (k,, g*^ modp) c'eaioires 

- gen^rer un_nouvel exposant k,, , n6cessaire ^ une signature en operant 
une combinaison lln6aire aleatoire des n valeurs k, de la base 
-calculer la grandeur.g*^ * modp en r6alisant le produit des puissances 
de g entrant dans la combinaison Iin6aire. *5>«>»i^e5 

- mettre d jour la base en rempla9ant un couple par ce nouveau couple 

^ uthser cette grandeur dans les echanges de signaux avec une autre 

4. Proced6 de cryptographie selon la revendication 3. caractense en ce 

i^niafrrd^rrfZr"' '^^^^ --^'-^-^ 

h-1 

kt = 2 aj kt^j.^h-i >; 
i = 0 

avec h - 1 = n 

aLatoires'^''"^"^ coefficients a, sent des nombres entiers positlfs 

5. Procede de cryptographie selon la revendication 3, caracterlsee en ce 
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6. Precede de cryptographie seton la revendication 5-, caracterise en ce 
qu'un nouvel exposant * i est une combinaison lin^aire des autres 
exposantss'exprimant par la relation : 

'^+1 ~ 't (kt+i-(h-1)i •••» ^ • 

et it une fonctionneiie iin^aire. 



7. Proced6 de cryptograplile selon i'une quelconque des revendlcations 
pr6c6denfes caracterise en ce qu'll peut §tre mis en oeuvre pour des 
cartes.^ microprocesseur. 
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